我负责在大约15个Windows盒子的网络上运行Windows安全日志的集中备份。为了自动化这项任务,我一直在编写一个Powershell脚本,该脚本利用wevtutil的/r参数来远程完成这一切。所有的盒子都连接到一个Sharepoint网络驱动器,我希望将日志复制到该驱动器,这样我就可以集中所有日志,但我遇到了一些麻烦。
当我把运行脚本的Windows盒子的ip传给它时,脚本运行得很好。日志被复制到Sharepoint,没有任何问题。当我只是告诉它在本地复制日志时,脚本也运行得很好。但是,当脚本尝试将计算机的日志远程复制到共享点时,我会得到一个Failed to Archive Security log. The account is not authorized to log in from this station.错误。
命令的格式为
wevtutil epl Security \pathtosharepoint[hostname]-[datetime]Security.evtx /r:[hostname]
我以域管理员的身份运行该脚本。我还使用本地管理员的凭据运行了该脚本,并得到了一个通用的访问拒绝错误。
谷歌搜索的错误消息主要包括无法访问网络驱动器的计算机(特别是远程wevtutil),以及中的许多混乱
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanWorkstationParameters
或
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters
其没有产生任何结果。我也被限制在Powershell 1,所以我不能远程使用Powershell本身AFAIK。
我可以把脚本放在每台机器上,然后用任务调度程序在本地运行,但我希望有一个更优雅的解决方案。是否有人有以这种方式使用wevtutil的经验,可以为我指明正确的方向,甚至可以建议更好的技术/工具?
您需要多大的自由度来实现另一个解决方案?
如果你想对日志做点什么,或者让它们易于搜索,你可以设置一个免费的Splunk服务器,然后使用Splunk转发器将日志发送到收件箱,或者你也可以使用Powershell将日志发送给Splunk的HTTP事件收集器。